Chiến dịch tấn công mới đang lặng lẽ lây nhiễm hàng loạt máy tính Windows toàn cầu

MinhSec · 17:31

Một chiến dịch phần mềm độc hại mới, gọi là Stealit, đang lan rộng nhắm vào hệ thống Windows bằng cách tận dụng tính năng Single Executable Application (SEA) của Node.js để đóng gói mã độc vào các file thực thi trông “hợp pháp”. Thay vì dùng những kỹ thuật cũ dễ bị phát hiện, Stealit kết hợp lớp che giấu phức tạp, kiểm tra môi trường phân tích và cơ chế duy trì bền bỉ nhằm thiết lập quyền kiểm soát lâu dài trên các máy bị nhiễm đồng thời hoạt động như một dịch vụ tội phạm có tính thương mại hóa cao.

Stealit được phân phối dưới dạng trình cài đặt ngụy trang cho các ứng dụng phổ biến (ví dụ trò chơi hay VPN), lan truyền qua nền tảng chia sẻ file như Mediafire hoặc kênh Discord. Gói cài đặt thường được nén và đóng bằng PyInstaller, khiến cả người dùng và phần mềm bảo mật ban đầu khó phát hiện bản chất độc hại của chúng. Những người điều hành chiến dịch còn xây dựng một “trang chủ” bán đăng ký, kênh quảng cáo và hệ thống hỗ trợ khách hàng minh họa cho mô hình malware-as-a-service chuyên nghiệp.

Cách Stealit hoạt động: SEA, chống phân tích và bộ ba thành phần độc hại

Stealit tận dụng chức năng SEA của Node.js để nhúng mã/script độc hại dưới dạng một “blob” dữ liệu nhị phân (NODE_SEA_BLOB) bên trong file thực thi. Điểm khác biệt so với các biến thể trước là không cần runtime Node.js cài sẵn file nhị phân hoạt động độc lập, khiến việc phát hiện dựa trên chữ ký hay hành vi kém hiệu quả hơn.

Quy trình tấn công bao gồm nhiều lớp:

Chống phân tích tinh vi: trước khi thực thi payload, Stealit kiểm tra môi trường để phát hiện máy ảo, công cụ gỡ lỗi hay nền tảng phân tích (kiểm tra bộ nhớ, số lõi CPU, tên máy chủ, cấu hình trình gỡ lỗi trong registry, các mô-đun đã tải…). Nếu nghi ngờ môi trường là sandbox, mã độc có thể tạm dừng hành vi nguy hiểm để né phân tích.
Thiết lập duy trì: nếu “xác thực” hệ thống là máy thật, phần mềm độc hại cài các script Visual Basic vào thư mục khởi động, thiết lập lệnh PowerShell để loại trừ thư mục khỏi quét Defender, và thiết lập nhiều cơ chế bền bỉ khác.
Tải ba thành phần chính: hệ thống tải xuống và triển khai ba file quan trọng save_data.exe (quyền đặc quyền, trích xuất dữ liệu trình duyệt), stats_db.exe (thu thập dữ liệu từ ứng dụng như Steam, WhatsApp, ví tiền điện tử), và game_cache.exe (mô-đun C2/remote access trojan: chụp màn hình, truy cập webcam, thao tác file, thực thi lệnh).

Thành phần save_data thậm chí dùng kỹ thuật tương tự ChromElevator để trích xuất thông tin lưu trên trình duyệt Chromium; stats_db nhắm tới nền tảng game, ứng dụng nhắn tin và ví tiền điện tử; game_cache quản lý giao tiếp với máy chủ chỉ huy và thực thi lệnh từ xa. Đường chỉ huy và điều khiển tập trung qua các tên miền do kẻ điều hành quản lý, cho phép kiểm soát nhanh và cập nhật tải trọng.

Hệ quả và cách phòng ngừa cơ bản

Stealit thể hiện xu hướng gia tăng của phần mềm độc hại “dịch vụ”: dễ mua, dễ dùng và khó phát hiện. Các gói quảng cáo, kênh Telegram/Discord và website bán đăng ký cho thấy tội phạm mạng đang chuyên nghiệp hóa mô hình hoạt động.

Người dùng và doanh nghiệp cần cảnh giác:

Tránh tải phần mềm từ nguồn không rõ ràng (link Mediafire/Discord không xác thực). Chỉ dùng nguồn chính thức hoặc kho ứng dụng đáng tin cậy.
Cập nhật hệ điều hành, phần mềm và trình duyệt thường xuyên để giảm rủi ro khai thác các lỗ hổng.
Dùng giải pháp bảo mật nhiều lớp: EDR kết hợp phân tích hành vi, kiểm tra mô-đun từ đường dẫn bất thường và giám sát các thay đổi registry liên quan tới trình gỡ lỗi hay nhà cung cấp mã hóa.
Kiểm soát quyền tải file thực thi và cảnh giác với file cài đặt dạng nén/PyInstaller.
Sao lưu định kỳ dữ liệu quan trọng và áp dụng nguyên tắc tối thiểu hóa quyền (least privilege) cho người dùng.

Về phía nhà cung cấp bảo mật, phát hiện Stealit nhắc nhở về nhu cầu tăng cường phát hiện các file nhị phân SEA, kiểm tra blob dữ liệu nội tại, và cải thiện khả năng phát hiện các thao tác chống phân tích hay cơ chế giữ chân bền bỉ. Công nghiệp an ninh mạng cần hợp lực để đóng các lỗ hổng khai thác phương thức đóng gói mới này.